Google ออกรายงานช่องโหว่ Meltdown และ Spectre คาดกระทบ CPU Intel หลังปี 1995 ทั้งหมด

January 4, 2018 Cloud and Systems, Cloud Security, CPU, Cybersecurity, Data Center, Google, Intel, Mobile Enterprise, Operating System, PC & Laptop, Products, Server and Storage, Virtualization & Container, Virtualization Security, Vulnerability and Risk Management

Google ได้ออกรายงานถึงรายละเอียดของ 2 ช่องโหว่ที่ชื่อว่า Meltdown และ Spectre โดย Bug ทั้ง 2 ตัวนี้สามารถทำให้เกิดการขโมยข้อมูลที่กำลังถูกประมวลผลบนคอมพิวเตอร์ ซึ่งข้อมูลนั้นประกอบด้วย รหัสผ่านที่ถูกเก็บอยู่ในตัวบริหารจัดการหรือ Browser รูปภาพส่วนตัว อีเมล ข้อความต่างๆ และเอกสารสำคัญทางธุรกิจ เป็นต้น

Credit: Intel

ผู้คนพบช่องโหว่นี้คือ Jann Horn นักวิจัยด้านความมั่นคงปลอดภัยของ Google เองซึ่งพบว่านี่คือ Bug เดียวกันกับที่เกิดขึ้นกับ Intel CPU โดย Google ได้ทดสอบ Bug นี้กับ Virtual Machine ใน Cloud และสามารถดึงข้อมูลจากลูกค้ารายอื่นที่ใช้งานเซิร์ฟเวอร์ตัวเดียวกันได้

การแก้ปัญหาต้องเกิดจากฝ่าย Hardware และ Software ร่วมกัน

Horn ได้อธิบายว่าการแก้ปัญหาครั้งนี้ต้องเกิดจากการออกแพตซ์ Firmware ของผู้ผลิต CPU และซอฟต์แวร์จากเจ้าของ OS และแอปพลิเคชันด้วย ซึ่งคาดว่า Intel, AMD, ARM, Windows, Linux, macOS, Android, ChromeOS, Amazon, Google, Microsoft และเจ้าของแอปพลิเคชันต่างๆ ล้วนได้รับผลกระทบทั้งสิ้น

ช่องโหว่เกิดใน CPU ที่ใช้เทคนิค ‘speculative execution’

Speculative Execution เป็นความสามารถของ CPU สมัยใหม่ซึ่งจะทำงานบางอย่างโดยคาดเดาว่างานนั้นอาจจะได้ใช้ในอนาคตหรือหากทำไปแล้วไม่ถูกใช้งานการเปลี่ยนแปลงที่เกิดขึ้นนั้นจะถูกย้อนกลับและผลลัพธ์จะถูกละเลยไป ทั้งหมดนี้เพื่อลดเวลาให้ทำงานได้ไวมากขึ้น (Optimized Technique) อย่างไรก็ดี Horn กลับพบหนทางที่จะนำ Speculative Execution ไปอ่านข้อมูลในหน่วยความจำของ CPU ซึ่งไม่ควรทำได้ในระดับของแอปพลิเคชันผู้ใช้งาน

ความหมายของ Meltdown และ Spectre ที่ Google อธิบายไว้

  • Meltdown (CVE-2017-5753 และ CVE-2017-5715) “Bug ตัวนี้หลอมละลายเส้นแบ่งด้านความมั่นคงปลอดภัยที่ปกติแล้วถูกบังคับใช้โดยฮาร์ดแวร์

  • Spectre (CVE-2017-5754) “ที่มาของชื่อ Spectre คือมันแก้ไขไม่ง่าย ซึ่งมันจะคอยหลอกหลอนเราไปอีกสักพัก การใช้ช่องโหว่ Spectre ทำได้ยากกว่า Mealtdown และการบรรเทาปัญหานี้ก็ทำได้ยากกว่าด้วย

คาดว่า CPU Intel ตั้งแต่ปี 1995 มีช่องโหว่ไม่ทางใดก็ทางหนึ่ง

ทาง Google เชื่อว่า “โปรเซสเซอร์ของ Intel ที่ผลิตโดยมีการทำงานนอกเหนือจากการ Execution ปกติได้รับผลกระทบโดย Meltdown นั่นหมายถึงโปรเซสเซอร์ทุกตัวของ Intel ตั้งแต่ปี 1995 (ยกเว้น Itanium และ Atom ก่อนปี 2013)” โดย Google ได้ทดสอบ Meltdown กับผู้ผลิตโปรเซสเซอร์รายใหญ่แต่มีผลกระทบกับ Intel เท่านั้นซึ่งมีส่วนแบ่งตลาดมากกว่า 80% นอกจากนี้ผลการทดสอบ Spectre ปรากฏว่าทั้ง Intel, AMD และ ARM ได้รับผลกระทบทั้งหมดซึ่งคาดว่า CPU ทั้งหมดในช่วงไม่กี่ปีที่ผ่านมาได้รับผลกระทบ

สามารถติดตามงานวิจัยเพื่มเติมได้ที่ Meltdown และ Spectre

ที่มา : https://www.bleepingcomputer.com/news/security/google-almost-all-cpus-since-1995-vulnerable-to-meltdown-and-spectre-flaws/

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Sonar เข้าซื้อกิจการ Gitar สตาร์ตอัป AI Code Review ยกระดับระบบตรวจสอบโค้ดด้วย Agentic Reasoning

Sonar ผู้ให้บริการแพลตฟอร์มตรวจสอบคุณภาพและความมั่นคงปลอดภัยของโค้ด ประกาศเข้าซื้อกิจการ Gitar สตาร์ตอัปผู้เชี่ยวชาญด้านระบบ AI-native Code Review การเข้าซื้อกิจการครั้งนี้มีเป้าหมายเพื่อผสานความสามารถด้านการคิดวิเคราะห์ของ Gitar เข้ากับเอนจินตรวจสอบโค้ดของ Sonar เพื่อสร้างความมั่นคงปลอดภัยที่รัดกุมยิ่งขึ้นสำหรับทีม DevOps ในยุคที่ …

Huawei เปิดตัวสถาปัตยกรรมชิปใหม่ แก้ปัญหาคว่ำบาตรและข้อจำกัด Moore’s Law

Huawei Technologies ยักษ์ใหญ่ด้านอิเล็กทรอนิกส์จากจีนได้เปิดตัวเฟรมเวิร์กการออกแบบชิปใหม่ ซึ่งบริษัทระบุว่าจะช่วยลดช่องว่างในอุตสาหกรรมเซมิคอนดักเตอร์กับผู้นำระดับโลกอย่าง TSMC และ Nvidia ได้

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand